Primeiramente, antes de falarmos sobre a utilização de cada uma das bases legais previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018), precisamos entender o conceito de tratamento de dados pessoais.
Em resumo, a LGPD deu uma extensão ampla ao conceito de tratamento de dados pessoais, abarcando qualquer operação que utilize informações de pessoas naturais vivas, art. 5, inciso X).
Além disso, é importante destacar que a LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador utilizar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que veremos adiante.
Em outras palavras, o controlador é obrigado a informar qual base legal ele utiliza para cada tratamento de dados.
Vejamos agora quais são elas:
1. Consentimento do titular dos dados – art. 7, inciso I
I – mediante o fornecimento de consentimento pelo titular;
Primeiro, precisamos esclarecer o que é consentimento, art. 5 inciso XII:
consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Nesse sentido, uma empresa/controladora que pretende tratar dados de um titular deve solicitar a ele que forneça seu consentimento – de forma livre e informada para uma determinada finalidade.
Tal consentimento pode ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular – art. 8, caput.
E ainda vale ressaltar que, antes de obter o consentimento do titular, é recomendável que ele seja informado sobre todos os seus direitos de forma transparente.
2. Cumprimento de obrigação legal – art. 7, inciso II
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
Em síntese, o controlador é pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – art. 5, inciso VI.
Portanto, com essa base jurídica, o controlador pode tratar dados – sem o consentimento – do titular para cumprir uma obrigação legal, por exemplo:
- uma empresa que tem a obrigação legal de entregar a Declaração do Imposto sobre a Renda Retido na Fonte (DIRF) relativo a seus empregados.
3. Administração Pública – art. III
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Essa é uma das bases legais da LGPD que permite o tratamento de dados pessoais, sem consentimento dos titulares, com a finalidade de executar políticas públicas.
Contudo, a administração pública deverá seguir regras específicas para processar dados pessoais com essa fundamentação – artigos 23 a 32.
4. Estudos por órgão de pesquisa – art. 7, inciso IV
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
A LGPD definiu órgão de pesquisa da seguinte forma, art. 5, inciso XII:
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
Além disso, vale destacar que tanto os órgão públicos quanto os privados sempre que possível devem anonimizar os dados pessoais.
5. Execução de contrato – art. 7, inciso V
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Essa é uma das bases legais que se assemelha a base legal do consentimento. Visto que, se o titular pretende formalizar o contrato, será necessário que ele forneça seus dados ao controlador.
Por exemplo:
- formalização de um contrato de locação, de compra e venda, prestação de serviços etc.
6. Processo Judicial, administrativo ou arbitral, art. 7, inciso VI
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
O controlador poderá reter as informações pessoais do titular com intuito de, eventualmente, se defender de algum processo judicial, administrativo ou arbitral.
Por exemplo:
- seria legítimo um controlador armazenar dados de um ex-empregado com a finalidade de se defender em um eventual processo trabalhista.
Por outro lado, o controlador, que reter os dados de um ex-funcionário, deverá observar os princípios de tratamento da LGPD, notadamente o da necessidade e o da finalidade.
7. Proteção da vida – art. 7, inciso VII
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Neste caso, se for comprovado que a vida do titular ou de um terceiro está correndo risco, a LGPD permite que o controlador processe os dados pessoais, sem consentimento deles, com a finalidade de protegê-los.
Por exemplo:
- a utilização da geolocalização de um celular para encontrar uma pessoa que foi sequestrada.
8. Tutela da Saúde, art. 7, inciso VIII
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Essa é uma das bases legais que somente com amadurecimento de Lei e da jurisprudência poderemos saber como ela poderá ser aplicada.
Haja vista que não foi definido quais são as categorias de profissionais da saúde que podem utilizar dados pessoais sem o consentimento do titular.
Além disso, não sabemos quais são os “procedimentos” que estarão acobertados pela Lei.
9. Interesse legítimo – art. 7, inciso IX
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
A utilização da base legal do legítimo interesse do controlador – decerto – causará grandes debates jurídicos, sobretudo por sua ampla possibilidade interpretativa.
O legítimo interesse está conceituado no art. 10 da LGPD:
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Como podemos perceber, o artigo tem caráter exemplificativo e não taxativo, ou seja, deverá o controlador analisar se o tratamento que pretender executar respeita, em especial, os seguintes requisitos:
- finalidade legítima;
- uma situação concreta.
Por exemplo:
- uma empresa/controladora que analisa o histórico de compras de seus clientes com intuito de enviar e-mails com a indicação de produtos semelhantes para eles comprarem.
Ademais, o legítimo interesse deve ser analisado caso a caso e em harmonia com os princípios que regem a LGPD: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação.
Assim como, é sempre recomendável que o controlador – em caso de dúvida – solicite um novo consentimento ao titular.
10. Proteção de Crédito – art. 7, inciso X
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O controlador/empresa pode tratar dados pessoais, sem o consentimento do titular, visando a proteção de crédito, por exemplo:
- um banco pode analisar o histórico de inadimplência de determinado cliente para conceder ou não um empréstimo.
Contudo, vale ressaltar que este artigo também deve ser analisado em conjunto com a Lei do Cadastro Positivo (Lei nº 12.414/2011) e Código de Defesa ao Consumidor (Lei nº 8.078/90).
FONTE: https://www.giarllarielli.adv.br/bases-legais-tratamento-de-dados-lgpd/